Pular para o conteúdo principal
Última atualização em

Migrar o controle de direitos do workspace

Migre o controle de permissões do workspace para selecionar as permissões de cada principal ao adicioná-los, em vez de permitir que os principals herdem as permissões automaticamente do grupo de sistema users. Isso concede a você controle preciso sobre o acesso ao workspace e permite adicionar usuários apenas de consumo, sem conceder permissões de autoria. Isto se tornará o comportamento default para todos os workspaces. Você pode migrar antecipadamente para testá-lo em seu próprio cronograma.

A migração altera como os grupos de sistema users e admins funcionam e move os direitos existentes para um novo grupo, para que os principals mantenham o acesso atual. Esta página aborda o novo comportamento, os passos de migração e as ações de pré-migração necessárias.

Visão geral

Cada workspace tem dois grupos de sistema: users, que inclui todos os principais com acesso ao workspace, e admins, que inclui os administradores do workspace. Hoje, cada principal adicionado a um workspace herda os direitos concedidos a users. Por default, estes direitos são:

  • Acesso ao workspace : Criar e usar Notebooks, Jobs, pipelines, aplicativos e muito mais.
  • Acesso ao Databricks SQL: crie e use painéis, Genie Spaces, alertas e muito mais.

Após a alteração:

  • Selecione as permissões de cada principal ao adicioná-los. Você pode adicionar diretores em qualquer nível de acesso, incluindo usuários somente consumidores, sem que eles herdem automaticamente permissões de autoria.

    Adicione um principal a um workspace e selecione cada direito explicitamente.

  • O grupo users não possui direitos, e o grupo admins possui todos os direitos de workspace. Nenhum pode ser alterado.

  • Não é possível aninhar os grupos users e admins como membros de outros grupos.

Principals existentes mantêm seu nível de acesso atual. A Databricks migra automaticamente os direitos concedidos anteriormente a users para um novo grupo de clone local do workspace com um nome default de users-clone-<TIMESTAMP>, onde <TIMESTAMP> é o horário da migração. Você pode renomear o grupo durante a migração e gerenciá-lo como qualquer outro grupo local do workspace. O grupo admins não exige migração porque recebe todos os direitos do workspace automaticamente.

Linha do tempo

Isto se tornará o comportamento default para todos os workspaces. A mudança ocorre em três fases:

  • 15 de junho de 2026 – Opção de adesão disponível. Migrar um workspace cedo para testar o novo comportamento.
  • 27 de julho de 2026 – Ativado automaticamente para workspaces que ainda não optaram. Ainda é possível optar por não participar temporariamente até a implementação obrigatória.
  • 14 de setembro de 2026 – Aplicado a todos os workspaces. A opção de cancelamento não está mais disponível.

Para obter mais informações, consulte Próxima alteração de comportamento: escolha as permissões ao adicionar principals aos workspaces.

Antes de começar

Você deve ser um administrador do workspace para migrar um workspace e gerenciar o novo comportamento.

Execute as seguintes ações antes que o novo comportamento seja habilitado em seu workspace:

  • Automação : Se você gerencia os direitos de grupo do sistema através do Terraform, APIs de SCIM do workspace ou scripts personalizados, atualize seus fluxos de trabalho para direcionar a grupos da conta, e não a grupos do sistema. Após o Databricks habilitar o novo comportamento, as tentativas de modificar os direitos do grupo do sistema falham.
  • Grupos de sistema aninhados: Se users ou admins estiver aninhado como membro de outro grupo, remova o aninhamento. O novo comportamento não permite aninhamento.
  • Sincronização SCIM: Se sua sincronização SCIM excluir grupos de workspace que ela não reconhece, atualize sua configuração para preservar o grupo de clone de migraçãousers-clone-<TIMESTAMP> (). Se a sincronização remover o grupo de clone, os principais migrados para ele perdem seus direitos.

Migrar um workspace

Você gerencia o novo comportamento a partir da configuração Novo comportamento: escolha as permissões ao adicionar principals aos workspaces nas configurações do seu workspace.

Para migrar o workspace para o novo comportamento:

  1. Como administrador do workspace, faça login no workspace do Databricks.

  2. Clique no seu nome de usuário na barra superior e selecione Configurações .

  3. Clique na guia Avançado .

  4. Em Controle de Acesso , encontre Novo comportamento: escolha as permissões ao adicionar principais aos workspaces . O status exibe **Comportamento legado (ação pode ser necessária)**.

    Configuração de controle de acesso mostrando o workspace usando o comportamento anterior.

  5. Click gerenciar .

  6. No diálogo, revise as concessões de direitos atuais para os grupos users e admins. Em **Comportamento para este workspace**, selecione **Utilizar novo comportamento**.

  7. No campo Nome do grupo de clonagem , insira um nome para o grupo que recebe os direitos concedidos a users, ou mantenha o padrão. Este grupo preserva os direitos de suas entidades existentes.

    Gerenciar diálogo com o novo comportamento selecionado e o campo de nome do grupo clone.

  8. Clique em Salvar .

    A Databricks migra os direitos de users para o grupo clone. Os principais atribuídos diretamente ao workspace são adicionados ao grupo de clone para que retenham seu acesso. Essas entidades incluem usuários e entidades de serviço adicionados diretamente, além de quaisquer grupos da account atribuídos ao workspace.

    Gerenciar o diálogo confirmando a migração, com usuários definidos sem direitos e administradores definidos com todos os direitos.

Após a conclusão da migração, a configuração mostra que o workspace está no novo comportamento.

Configuração de controle de acesso que exibe o workspace com o novo comportamento.

Verifique as alterações

Após a conclusão da migração, verifique se as alterações foram aplicadas corretamente:

  1. Como administrador do workspace, log in no workspace do Databricks.
  2. Clique no seu nome de usuário na barra superior e selecione Configurações .
  3. Clique na guia Identidade e acesso .
  4. Ao lado de Grupos , clique em Gerenciar .
  5. Verifique o seguinte:
    • O grupo de clones existe e tem os direitos que o grupo users tinha antes da migração.
    • O grupo de clonagem contém as entidades que foram adicionadas diretamente ao workspace através de users, incluindo usuários adicionados diretamente, entidades de serviço e quaisquer grupos de account atribuídos ao workspace.
    • O grupo users não tem direitos, e o grupo admins tem todos os direitos de workspace.
nota

O grupo clonado contém apenas membros diretos, portanto, ele pode exibir menos membros do que o grupo users, que inclui todos os adicionados por meio de participações em grupos da conta. Isso não significa que ninguém perdeu o acesso. Os usuários que ingressaram no workspace por meio de um grupo de conta permanecem cobertos porque esse grupo de conta é adicionado ao grupo de clone. Grupos locais de workspace não são copiados porque não concedem associação ao workspace.

Considerações e práticas recomendadas

Considere o seguinte ao migrar um workspace:

  • Adicionando entidades após a migração : Após o novo comportamento ser habilitado, você selecionará as permissões de cada entidade ao adicioná-las ao workspace. Para conceder permissões de criação, selecione **Acesso ao workspace** ou **Acesso ao Databricks SQL**. Para adicionar um consumidor somente de visualização, conceda apenas **Acesso do consumidor**. Para obter mais informações, consulte O que é acesso do consumidor? e Use a interface Genie.
  • Gerenciando o Grupo de Clone : O grupo users-clone-<TIMESTAMP> é um grupo local padrão do workspace. Gerenciar sua associação e direitos como qualquer outro grupo. Consulte Gerenciar grupos.
  • Desativação : Se você cancelar a adesão após a migração, o grupo users-clone-<TIMESTAMP> permanece. Você pode manter e gerenciar, ou excluir manualmente.
  • Coordenação com provedores de identidade : Se você usar o provisionamento SCIM para sincronizar usuários e grupos, coordene esta mudança com seus processos de gerenciamento de identidade para que o grupo de clone seja preservado. Consulte Sincronizar usuários e grupos do seu provedor de identidade usando SCIM.

O que vem a seguir?

Após migrar um workspace, poderá desejar:

Nesta página